nmap mac os si aprono molte porte discutibili

1

Recentemente ho cercato di bloccare la mia rete a casa e sospetto che qualcuno ha violato il mio router linksys perché la porta 3128 sembra essere aprire attraverso il router e non ho alcuna impostazione di conoscenza o consentire nulla come squid-http su. Cerco di eseguire le cose il più snelle possibili per la sicurezza. Ho controllato il mio Mac OS mentre stavo cercando di capire le cose e ho ottenuto il a seguire. Nota, non eseguo alcun servizio (server web, server smtp, DNS) o altro sul mio Mac tranne che sul mio iOS.

Lungo queste linee, ho fatto un localhost nmap sul mio Mac OS e ho ottenuto quanto segue su due diverse sequenze (minuti a parte):

Starting Nmap 6.25 ( http://nmap.org ) at 2014-12-14 20:23 MST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00032s latency).
Not shown: 997 closed ports
PORT     STATE    SERVICE
631/tcp  open     ipp
5859/tcp filtered wherehoo
9009/tcp filtered pichat

Poi un paio di minuti dopo:

PORT      STATE    SERVICE
7/tcp     filtered echo
25/tcp    open     smtp
340/tcp   filtered unknown
389/tcp   filtered ldap
587/tcp   open     submission
631/tcp   open     ipp
900/tcp   filtered omginitialrefs
1065/tcp  filtered syscomlan
1087/tcp  filtered cplscrambler-in
1096/tcp  filtered cnrprotocol
1185/tcp  filtered catchpole
3128/tcp  filtered squid-http
4000/tcp  filtered remoteanything
5910/tcp  filtered cm
6001/tcp  filtered X11:1
6009/tcp  filtered X11:9
6123/tcp  filtered backup-express
7402/tcp  filtered rtps-dd-mt
8200/tcp  filtered trivnet1
8500/tcp  filtered fmtp
9099/tcp  filtered unknown
9103/tcp  filtered jetdirect
9200/tcp  filtered wap-wsp
32773/tcp filtered sometimes-rpc9
50001/tcp filtered unknown

Poi di nuovo circa un minuto dopo, ho ricevuto solo

631/tcp open ipp

Mi rendo conto che IPP è la stampante, ma molti altri non lo so né sto correndo per quanto ne so.

Non sono un esperto di sicurezza, ma sono costretto a rinunciare e capire la sicurezza molto più ultimamente perché l'hacking ha ottenuto questo risultato sofisticato e fuori controllo. Conosco alcune cose ma non abbastanza per stare al passo con tutti gli hack. Questo mi sembra molto sospetto su tutta la linea.

Qualcuno può dirmi quali di questi sono legittimi e quali non sono o cosa suggerire dopo? Sto pensando che potrei aver bisogno di ricaricare l'intero sistema operativo ma Mi dispiacerebbe prendere i pochi giorni per farlo se non fosse necessario e potrei essere nuovamente re-hacked.

    
posta Tim 15.12.2014 - 04:41
fonte

4 risposte

2

Se non hai mai configurato squid-http, esegui il seguente comando per vedere se è effettivamente il processo che usa la porta:
ps -auxf | grep squid .

Se squid è in esecuzione, esegui: killall squid e prendi i passaggi per rimuoverlo dal tuo computer.
In ogni caso, dovresti chiudere le porte aperte sul router a meno che non siano aperte per un motivo.
Inoltre, blocca tutto il traffico in entrata e in uscita su p38568 sul tuo computer subito. Se non si rompe nulla di normale, investigala ulteriormente e continua a monitorare le tue connessioni per vedere se si apre una qualsiasi altra porta dispari.

Sarei in grado di dire di più con il risultato di: netstat -a | grep 38568

    
risposta data 15.12.2014 - 09:41
fonte
2

Dovresti leggere che cosa filtered significa . Significa che non significa che quelle porte sono aperte, ma che Nmap non ha ricevuto una risposta da esse. Su una scansione localhost, questo è molto improbabile, ma potrebbe accadere se si esegue una scansione "troppo veloce", suppongo.

Per controllare le porte aperte sul tuo sistema, il tuo primo strumento dovrebbe essere netstat . Questo mostrerà (tra le altre cose) tutte le porte di ascolto. Nmap per impostazione predefinita scansiona solo le 1000 porte più comuni, quindi manca altre 64000 altre possibilità. Sfortunatamente, il netstat di OS X non mostra il processo che sta effettivamente ascoltando. puoi ottenere queste informazioni da lsof , però, quindi prova sudo lsof -i | grep LISTEN .

EDIT: Seguendo il feedback sotto, dovrei sottolineare che un servizio che sta ascoltando only su localhost non rappresenta una minaccia da un attacker esterno . È possibile determinare ciò osservando l'output di netstat -an : se la porta è elencata con un Local Address di *:38568 (o qualsiasi numero di porta), il servizio accetterà le connessioni dall'esterno della propria macchina. Se Local Address è 127.0.0.1:38568 o ::1:38568 allora è accessibile solo dalla scheda loopback (cioè non dalla rete).

    
risposta data 15.12.2014 - 05:36
fonte
1

Sto creando un'altra risposta perché l'altro è preciso nel proteggere le connessioni aperte, ma ho scoperto un problema più urgente con la tua domanda.

Stai confondendo due scansioni diverse.

Include l'intera scansione nella prima immagine. Questo è il tuo indirizzo di loopback (127.0.0.1), che come ho commentato in precedenza, non si connette ad altri computer in quanto è interamente sulla sua interfaccia. È usato per i processi per comunicare l'un l'altro internamente.

La seconda scansione, non include l'inizio della scansione. Leggendo la domanda la prima volta, non l'ho capito. Sembra che la tua seconda scansione provenisse da un altro computer o dal tuo computer con l'IP della tua rete locale.

Queste due scansioni non saranno mai simili.

La terza scansione è chiaramente di nuovo il tuo indirizzo di loopback e sembra che tu abbia chiuso due programmi dall'ultima scansione localhost.

Conclusione : se confronti le scansioni da diverse interfacce, avrai un brutto momento.

    
risposta data 15.12.2014 - 14:22
fonte
0

Stai scannerizzando la tua casella da sola? In tal caso, non si otterrà un'immagine precisa di ciò che è aperto a volte, specialmente con Nmap come @ menzionato. Quindi assicurati di eseguire la scansione di un altro host sulla stessa sottorete.

Di seguito c'è un servizio tinky TCP di cui non hai bisogno. Vai a /etc/inetd.conf e commentali. Cerca anche gli altri.

7/tcp filtered echo 

Anche la maggior parte delle porte elencate qui non sono registrate ufficialmente, quindi la lista è solo ciò che nmap pensa che possano "essere". Cerca in / etc / services per trovare ciò che pensano di essere. Alcuni di questi potrebbero essere netinfo ecc.

Sulla porta 25 Dice che è in esecuzione un server di posta smtp. È insolito in un computer desktop. Ma potrebbe accadere durante l'installazione di qualche altra applicazione. Se vuoi sapere quale programma esegue esattamente su una porta puoi usare questo comando

fuser -v 25/tcp

U può sostituire il numero di porta con la porta richiesta che si desidera scansionare. La maggior parte dei programmi non è effettivamente richiesta da noi. Puoi ucciderli o disinstallare il programma corrispondente, se lo desideri. Utilizza questo Link per scoprire come uccidere un programma per porta in mac os. Nulla di cui preoccuparsi finora è normale nelle macchine mac os.

    
risposta data 15.12.2014 - 11:14
fonte

Leggi altre domande sui tag